Få utskriftsvennlig versjon ved å trykke på denne

Oversikt over godkjenningsnivå - systemer og tjenester

Vi vil her bygge opp en lett tilgjengelig oversikt over hvilke typer data som kan behandles i de ulike systemene og tjenestene ved UiT.

UiT har tre klassifiseringskategorier: Åpen, Intern og Konfidensiell. Dette følger av Styringssystemet for informasjonssikkerhet. Her fremgår også nærmere beskrivelser av de enkelte kategoriene.

System / tjeneste Åpen Intern Konfidensiell
Canvas OK OK ikke godkjent
Ephorte OK OK OK  
E-post (office 365) OK OK ikke godkjent
EUTRO OK OK OK  
Fellesområder OK OK ikke godkjent
Felles Studentsystem (FS) OK OK ikke godkjent
Hjemmeområdet (H:\) OK OK ikke godkjent
Mediasite OK OK ikke godkjent
Nettskjema / Sikkert nettskjema OK OK OK 1
OneDrive for Business (office 365) OK OK OK 2
Request Tracker (RT) OK OK ikke godkjent
Sharepoint (office 365) OK OK OK 2
Skype for Business OK OK OK 3
Sway5 (office 365) OK ikke godkjent ikke godkjent
Teams (office 365) OK OK OK 2
Tjeneste for sensitive data (TSD) OK OK OK  
Yammer (office 365) OK ikke godkjent ikke godkjent
WiseFlow OK OK OK 4

1 = For konfidensiell informasjon skal "sikkert nettskjema" benyttes, ta kontakt med Seksjon for digitale forskningstjenester (SDF). "Nettskjema" er kun for åpen og intern informasjon.

2 = Dette er betinget av at følgende sikkerhetstiltak følges: klassifisering av informasjon, totrinns-autentisering aktivert. Tjenesten er ikke godkjent for lagring av forskningsdata som inneholder sensitive personopplysninger. Da skal TSD benyttes. Informasjon som er underlagt begrensninger for utføring fra Norge (f.eks etter Sikkerhetsloven) kan heller ikke behandles her.

Merk: Direktemeldingsfunksjonen (chat) i Teams er ikke kryptert.

3 = Samtaler i Skype krypteres. Ved Skype-møter med konfidensielt innhold anbefales det å aktivere "lobbyfunksjonen" slik at møteleder aktivt må slippe inn de personer om forsøker koble seg opp til møtet. Merk: kopi av direktemeldinger ("chat") lagres i e-postklienten, slik at det blir sikkerhetsnivået for e-post som er gjeldende for disse.

4 = Sensitive personopplysninger (f.eks legeerklæringer) skal ikke behandles i WiseFlow. Men konfidensiell informasjon som f.eks eksamensoppgaver før eksamen er avholdt, kan behandles i denne tjenesten. 

5 = Sway er godkjent kun for åpne data. Vi gjør oppmerksom på at Sway lagrer all brukerdata i USA. 

Vær oppmerksom på at for systemene/tjenestene vil det være fastsatte rutiner, retningslinjer, bruksanvisninger mm. Det er viktig at disse følges, da man gjennom f.eks rutiner iverksetter tiltak som er påkrevd for at en gitt type informasjon skal kunne behandles i systemet eller tjenesten. Dersom man bruker systemet eller tjenesten på en annen måte enn beskrevet / angitt, så gjelder ikke informasjonen i tabellen ovenfor og man må ta direkte kontakt med systemeier for å få en avklaring om bruken er tillatt.

Eksempler på tjenester vi ikke har avtale med ved UiT

Her vil vi nevne enkelte av populære tjenester som vi ikke har en avtale med ved UiT. Hvis disse skal brukes må det inngås en godkjent databehandleravtale, og risiko- og sårbarhetsvurdering (ROS) må gjennomføres. Merk at disse avtalene må inngås, og beslutninger om aksept av eventuell restrisiko, må tas på korrekt nivå i organisasjonen. Når disse er gjennomført skal kopi av avtalen og ROS-vurderingen sendes til informasjonssikkerhetsrådgiverne. Se uit.no/sikkerhet for nærmere informasjon. Merk at denne listen naturligvis ikke på noen måte er uttømmende, men inneholder eksempler på kjente tjenester som ikke kan benyttes til behandling av personopplysninger.

- Google Dokumenter (Docs)

- Google Drive

- Dropbox

- Facebook




Page administrator: Ingvild Stock-Jørgensen
Last updated: 03.09.2018 15:56